[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]
; H# V- ~% G. c+ o8 y# b7 _
( o8 r+ m3 \% s. T! y; Z+ B信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）5 @4 O1 [2 N. V' d  z$ \

来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。
1 D% H! V' ]! {: q# e
免杀也弄了有点时间了。。现在分享下我的经验。

首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）
+ z) {) n3 D0 F4 Q6 \+ |1 B5 `. c+ y2 @- L
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。

第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，, k* _4 ~% E. p' E2 \" O9 b+ t5 I

再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。

很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，4 @; A* F0 |& _

其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。
0 u" P& W; k1 F; N3 h
顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。
5 C' a9 E8 n4 U- s% S" w6 f9 u+ e- C
对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
6 @8 w4 j2 t" d. y
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，
5 T% s, Q( M2 T, M# W* J
对了，花指令对瑞星不是很管用。* P+ d- ?* p* f: f  I  f0 D- m
5 e) X+ V/ @9 z* b6 [5 @
1 C  G0 H) X5 B0 Z# r
做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。+ L& ]1 l# f- V7 `6 P

我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。
2 E) p6 q1 _- x  P& B' ?
对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。

输入表的免杀是非常重要的一课。 2 {- W( P8 n# e6 a( b& W
) E+ O" c* p& m' @4 J) q
常见方法有移位法。上下互换法。以及重建输入表法。) X* K# A7 f  a2 g) n& e# o" I
0 x* o# u$ |6 Q0 S" y: A6 H5 [! ^
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
; u+ ]: L. h- X) ?6 p( Z
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。

重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。
% `- K( [) h  _+ }0 `
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。& h" [: K# q" X5 k4 K
# z& d" d: b' p2 R& A9 Y3 ~
这样免杀的效果不错。。。( S) y( l9 V6 E( p' y! r% W

关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。+ W% _* h6 \3 N' N" Z  T
, N1 i0 C* b8 X& e0 {+ N# S+ c9 |& [
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。5 B+ |9 X2 x0 D; L( U3 t5 W
  ^  P9 f  Q" \" W; s# g
大家多多了解下，  免杀不是很难的事。。1 Z( @  Y# t; C0 T+ \! R5 t

此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数